Вразливість EIP-7702 виявлена: $280K ETH виведено через Tornado Cash

Дослідники з безпеки виявили критичний інцидент, коли зловмисник зміг витягти приблизно 95 ETH (оцінкою близько $280 000) через Tornado Cash, використовуючи критичну ваду в неініціалізованих делегатських контрактах EIP-7702. За даними CertiK Alert, ця вразливість дозволила зловмиснику взяти під контроль механізм делегування, а потім переказати всі активи, що зберігаються на делегованій адресі.

Як відбувся напад

Зловмисник скористався неправильно ініціалізованим делегатським контрактом EIP-7702 — компонентом, розробленим для спрощення абстракції облікових записів та складних транзакцій. Маніпулюючи цим прогалиною, він отримав адміністративні права над контрактом, фактично обійшовши стандартні протоколи безпеки. Потім він перенаправив кошти безпосередньо до Tornado Cash, сервісу для змішування транзакцій, що часто використовується для приховування слідів.

Що це означає для екосистеми

Інцидент підкреслює постійну проблему у розробці смарт-контрактів: ризики, пов’язані з неповними процедурами ініціалізації у делегатних шаблонах. Хоча EIP-7702 надає розробникам більшу гнучкість у виконанні транзакцій, він створює нові поверхні для експлуатації, якщо не застосовувати суворі заходи безпеки.

Проекти, що використовують делегатські контракти, повинні негайно провести аудити безпеки, щоб переконатися у правильності процедур ініціалізації. Членам спільноти, які тримають активи у подібних архітектурах контрактів, рекомендується переглянути свою експозицію та розглянути можливість переказу коштів на аудиторські смарт-контракти з підтвердженою історією безпеки.

Поточний ринок ETH

На момент останнього оновлення, Ethereum (ETH) торгується приблизно за $3.15K. Події, подібні до цієї, зазвичай викликають короткочасну волатильність на ринку, оскільки трейдери переоцінюють ризики, хоча широка екосистема продовжує рухатися вперед у покращенні протоколів та інструментів для розробників, щоб запобігти подібним вразливостям.